"Search for..." Startseite kommt immer wieder!Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
06.09.2004, 02:13
Ehrenmitglied
Beiträge: 29434 |
||
|
||
06.09.2004, 10:27
...neu hier
Beiträge: 6 |
#182
hy sabina
vielen dank für die schnelle und ausführliche hilfe...! hoff dass ich alle schritte ohne fehler bis zum ende ausführen kann! meld mich sicher bald nochmal... bis einstweilen |
|
|
||
06.09.2004, 11:34
...neu hier
Beiträge: 5 |
#183
Hi ich hab auch Probleme mit der searchweb2.com startseite. Könnt ihr mal schaun ob ihr was findet?
Logfile of HijackThis v1.97.7 Scan saved at 11:32:58, on 06.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe C:\WINDOWS\Explorer.EXE C:\ATI-CPanel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\FRITZ!DSL\Awatch.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Winamp\winampa.exe c:\progra~1\intern~1\iexplore.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\TGTSoft\StyleXP\StyleXP.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\frnDSL\frnDSL.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\ntvdm.exe C:\Programme\Messenger Plus! 3\MsgPlus.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Marius Erlenbruch\Desktop\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.xtvanhzktiqgpceelfghq.net/PTbVc/iaatH/rcgTOcf0ZzXTZZ5TG4xuErBAIUvmwtFOEqk0TkXMDITr029zE56o.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL (file missing) O2 - BHO: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL (file missing) O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\Downloaded Program Files\ycomp5_3_18_0.dll O2 - BHO: (no name) - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL (file missing) O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {75496230-6FDC-995D-7C36-AEB06ED70585} - C:\PROGRA~1\INFOFR~1\EXTRAPLUS.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_3_18_0.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\Kazaa.exe /SYSTRAY O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe O4 - HKLM\..\Run: [ErrorActive] C:\PROGRA~1\SECOND~1\File Bore Kind.exe O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\avpcc.exe" /wait O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [TestMealSoftFlag] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\send rdr test meal\Upload win.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Steam] C:\Valve\Steam2\Steam.exe -silent O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ 4.0 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de O15 - Trusted Zone: www.bcf-clan.tk O15 - Trusted Zone: www.counter-strike.de O15 - Trusted Zone: www.google.de O15 - Trusted Zone: http://www.kart-geiselhoering.tk O15 - Trusted Zone: http://www.rallye-magazin.de O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/05719b637321df4e7323/netzip/RdxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_18_0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3B887463-E043-44DE-ADF3-9FBA61315E5A}: NameServer = 192.168.122.252,192.168.122.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{A1E86C58-18B5-47D8-A69F-5A4DB2D18CAA}: NameServer = 194.97.173.125 194.97.173.124 MFG Counterdoc |
|
|
||
06.09.2004, 11:46
...neu hier
Beiträge: 1 |
#184
Ich hab ein Problem mit SearchWeb...Bitte um Hilfe.
Logfile of HijackThis v1.97.7 Scan saved at 11:42:24, on 06.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe C:\WINDOWS\System32\RunDll32.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe C:\WINDOWS\System\adtool.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\kleine Programme\Winamp\winampa.exe C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE C:\Programme\Microsoft Hardware\Keyboard\type32.exe C:\Programme\MSN Messenger\MsgPlus.exe C:\WINDOWS\System32\qpqhsivf.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\PROGRA~1\Aquatica\AQ3HEL~1.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\PROGRA~1\KLEINE~1\Yahoo!\MESSEN~1\ypager.exe C:\Programme\DR_S\DR_S.exe C:\programme\games\valve\steam\steam.exe C:\PROGRA~1\CLOCKS~1\Sync.exe C:\WINDOWS\SYSsfitb.exe C:\PROGRA~1\ezula\mmod.exe C:\Programme\kleine Programme\Skype\Phone\Skype.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\Programme\InterVideo\WinDVD4PR\SchSvr.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Internet Explorer\iexplore.exe c:\progra~1\intern~1\iexplore.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\kleine Programme\Teamspeak2_RC2\TeamSpeak.exe C:\Dokumente und Einstellungen\Tim\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.knuddels.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchforit.com/searchbar R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.csjxcvufjloptojntcnu.com/25Ry3PTay8RrgtkPR/HmuC4k7q/76LuuFh7llmRaqmEPwhQVAEaiM8lMqnc8GI_Q.htm R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchforit.com/searchbar R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.knuddels.de/ O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file) O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\kleine Programme\Yahoo!\Messenger\ycomp.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1AF0B39A-D64D-FA16-49C6-31F5046EAC9E} - C:\PROGRA~1\Realbook\TransDale.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\kleine Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Replace Search Ctl - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - C:\WINDOWS\System32\replaceSearch.dll O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\System32\bridge.dll O2 - BHO: (no name) - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\kleine Programme\Yahoo!\Messenger\ycomp.dll O3 - Toolbar: searchforit - {C109664B-CEB1-420b-B353-D55A561536DD} - C:\WINDOWS\System32\SYSsfitb.dll O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\Programme\DashBar\DashBar17.dll O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [CM-SmWizard] C:\WINDOWS\System\SmWizard.exe O4 - HKLM\..\Run: [FastTVSync] "C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe" O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O4 - HKLM\..\Run: [System] C:\WINDOWS\System\adtool.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinampAgent] C:\Programme\kleine Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE O4 - HKLM\..\Run: [logfont] C:\WINDOWS\logfont.exe O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MSN Messenger\MsgPlus.exe" O4 - HKLM\..\Run: [plan 2] C:\PROGRA~1\MAPIHO~1\extradrawlog.exe O4 - HKLM\..\Run: [hpomwptdo] C:\WINDOWS\System32\qpqhsivf.exe O4 - HKLM\..\Run: [searchbar] C:\WINDOWS\System32\vnmispoisn_downloader.exe O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\Games\Doom 3\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\PROGRA~1\Aquatica\AQ3HEL~1.EXE /partner AQ3 O4 - HKLM\..\Run: [longgreymessclose] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BirdChicLongGrey\proxylog.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\KLEINE~1\Yahoo!\MESSEN~1\ypager.exe -quiet O4 - HKCU\..\Run: [DR_S] C:\Programme\DR_S\DR_S.exe O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MSN Messenger\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [Steam] "c:\programme\games\valve\steam\steam.exe" -silent O4 - HKCU\..\Run: [ClockSync] C:\PROGRA~1\CLOCKS~1\Sync.exe O4 - HKCU\..\Run: [SYSsfitb] C:\WINDOWS\SYSsfitb.exe O4 - HKCU\..\Run: [eZmmod] C:\PROGRA~1\ezula\mmod.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\kleine Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: InterVideo Scheduler server.lnk = C:\Programme\InterVideo\WinDVD4PR\SchSvr.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb001 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: SideFind (HKLM) O9 - Extra button: ICQ 4.1 (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Yahoo! Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0401.cab O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1485c794b08e694bdb05/netzip/RdxIE601_de.cab O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab O16 - DPF: {91413D86-9F27-402C-B5E3-DEBDD122C339} - http://content.netvenda.com/sites/games-intl/de/games4.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38022.6104398148 O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shooter/install/win2000/SYSsfitb.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/autocomplete.cab O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab30149.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab30149.cab Danke...Tim. |
|
|
||
06.09.2004, 12:28
Ehrenmitglied
Beiträge: 29434 |
#185
@Zero-00
Dein PC ist verseucht und nicht mehr vertarauenswuerdig.... kompromittiert. Aendere alle wichtigen Passworte und versuche die Reinigung (Neuinstallation waere allerdings das Beste......) #Wiederherstellung deaktivieren http://www.bsi.de/av/texte/winsave.htm ___________________________________________________________________________ scanne mit dem HijackThis, hake das hier an, <fix< und neustarten R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.xtvanhzktiqgpceelfghq.net/PTbVc/iaatH/rcgTOcf0ZzXTZZ5TG4xuErBAIUvmwtFOEqk0TkXMDITr029zE56o.html R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchforit.com/searchbar O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file) O2 - BHO: (no name) - {1AF0B39A-D64D-FA16-49C6-31F5046EAC9E} - C:\PROGRA~1\Realbook\TransDale.exe O2 - BHO: Replace Search Ctl - {832BEBED-C3DA-4534-A2C2-B2FFF220C820} - C:\WINDOWS\System32\replaceSearch.dll O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\System32\bridge.dll O2 - BHO: (no name) - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O3 - Toolbar: searchforit - {C109664B-CEB1-420b-B353-D55A561536DD} - C:\WINDOWS\System32\SYSsfitb.dll O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\Programme\DashBar\DashBar17.dll O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O4 - HKLM\..\Run: [System] C:\WINDOWS\System\adtool.exe O4 - HKLM\..\Run: [logfont] C:\WINDOWS\logfont.exe O4 - HKLM\..\Run: [plan 2] C:\PROGRA~1\MAPIHO~1\extradrawlog.exe O4 - HKLM\..\Run: [hpomwptdo] C:\WINDOWS\System32\qpqhsivf.exe O4 - HKLM\..\Run: [searchbar] C:\WINDOWS\System32\vnmispoisn_downloader.exe O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [longgreymessclose] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BirdC O4 - HKCU\..\Run: [DR_S] C:\Programme\DR_S\DR_S.exe O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O4 - HKCU\..\Run: [SYSsfitb] C:\WINDOWS\SYSsfitb.exe O4 - HKCU\..\Run: [eZmmod] C:\PROGRA~1\ezula\mmod.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZSzeb001 O9 - Extra button: SideFind (HKLM) O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebprodu O16 - DPF: {A27AD582-5BE5-4C2D-82F0-48B24FE02040} - http://www.adshooter.com/pop_shooter/install/win 2.)Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken) Sicherstellen, daß alle Dateien angezeigt werden. (Systemsteuerung - Ordneroptionen - Ansicht - "Alle Dateien und Ordner anzeigen" aktivieren und "Geschützte Systemdateien ausblenden" deaktivieren.) 3.)Loesche:\Deinstalliere: C:\PROGRA~1\MAPIHO~1\extradrawlog.exe C:\WINDOWS\System\adtool.exe C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe C:\Programme\MSN Messenger\MsgPlus.exe C:\WINDOWS\System32\qpqhsivf.exe C:\WINDOWS\SYSsfitb.exe http://sarc.com/avcenter/venc/data/pf/adware.adshooter.html C:\PROGRA~1\ezula\mmod.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" C:\Programme\DR_S\DR_S.exe C:\Program Files\WindowsSA\omniscient.exe C:\WINDOWS\logfont.exe Troj/AgentSpy-A http://www.sophos.de/virusinfo/analyses/trojagentspya.html 4.)Alle Dateien und Ordner in den C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp Ordnern löschen. 5)Alle Dateien im Ordner C:\Windows\Temp löschen.....#Start<Ausfuehren<%temp% 6.)Über Systemsteuerung - Internetoptionen die temporären Internetdateien einschließlich aller Offlineinhalte löschen. Gehe wieder in den Normalmodus: 7.)Lade <Winsweep< http://www.winsweep.de/down.htm Klicke auf die Grafik , da erscheint der Download. Dann musst du das Tool nicht kaufen, sondern einfach ab und zu "System reinigen" anklicken. Dann das Tool wieder aus dem Autostart nehmen Start<Ausfuehren<msconfig<Systemstart das Haekchen vor Winsweep rausnehmen. 8.)Lade den "eScan" erstelle vorher eine C:\ base und entpacke dort den Scanner http://www.mwti.net/antivirus/free_utilities.asp suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein) Start<Ausfuehren< %temp% Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen) _____________________________________________________________________________________________ 9.)Gehe unbedingt in den abgesicherten Modus (!) http://www.bsi.de/av/texte/winsave.htm 10.)suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. Nach dem Scann, gehe wieder in den Normalmodus 11.)AdAware (free) http://www.lavasoft.de/support/download/ 12.) scanne noch mal und poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde das neue Log vom HijackThis noch mal. (stelle vorher eine neue Startseite ein) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.09.2004 um 13:41 Uhr von Sabina editiert.
|
|
|
||
06.09.2004, 12:35
...neu hier
Beiträge: 1 |
#186
Also ich hab auch das unten mehrmal genannte Problem...
mein log-file: Logfile of HijackThis v1.98.2 Scan saved at 12:24:43, on 06.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\user\programme\norton\navapsvc.exe C:\user\programme\norton\AdvTools\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe C:\user\programme\norton\SAVScan.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\system32\apisq.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\ODBCINST.INI:einbd C:\Dokumente und Einstellungen\Robert\Desktop\WrAdmin.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\Robert\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\yoiam.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yoiam.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\yoiam.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\yoiam.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yoiam.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\yoiam.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\yoiam.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/ R3 - Default URLSearchHook is missing F1 - win.ini: run=fntldr.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\user\programme\reader\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {09FB32FD-A37F-80FB-81BA-E5E7A992B7C6} - C:\WINDOWS\addll32.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\user\programme\norton\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\user\programme\norton\NavShExt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [bqoefsiw] C:\WINDOWS\System32\nvcohv.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\user\PROGRA~1\norton\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [mfcgs.exe] C:\WINDOWS\system32\mfcgs.exe O4 - HKLM\..\Run: [netah.exe] C:\WINDOWS\system32\netah.exe O4 - HKLM\..\Run: [msbz.exe] C:\WINDOWS\system32\msbz.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [apisq.exe] C:\WINDOWS\system32\apisq.exe O4 - HKLM\..\RunOnce: [ixdtw] C:\WINDOWS\hh.exe:ixdtw O4 - HKLM\..\RunOnce: [einbd] C:\WINDOWS\ODBCINST.INI:einbd O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Lnbu] C:\Dokumente und Einstellungen\Robert\Anwendungsdaten\oroe.exe O4 - HKCU\..\Run: [Fvyvzpl] C:\WINDOWS\System32\ftwyw.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\user\programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\user\programme\ICQLite\ICQLite.exe O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchmiracle.com O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?319 O17 - HKLM\System\CCS\Services\Tcpip\..\{447695E9-E2C1-4DB6-8E1C-39F26F162F8F}: NameServer = 192.168.1.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{447695E9-E2C1-4DB6-8E1C-39F26F162F8F}: NameServer = 192.168.1.1 O19 - User stylesheet: C:\WINDOWS\Web\tips.ini (file missing) |
|
|
||
06.09.2004, 13:11
Ehrenmitglied
Beiträge: 29434 |
#187
Hallo @Graverider
Dein PC ist verseucht und nicht mehr vertarauenswuerdig.... kompromittiert. Aendere alle wichtigen Passworte und versuche die Reinigung (Neuinstallation waere allerdings das Beste......) #Wiederherstellung deaktivieren http://www.bsi.de/av/texte/winsave.htm ___________________________________________________________________________ scanne mit dem HijackThis, hake das hier an, <fix< und neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\yoiam.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yoiam.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\yoiam.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\yoiam.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yoiam.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\yoiam.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\yoiam.dll/sp.html#29126 R3 - Default URLSearchHook is missing F1 - win.ini: run=fntldr.exe O4 - HKLM\..\Run: [bqoefsiw] C:\WINDOWS\System32\nvcohv.exe O4 - HKLM\..\Run: [mfcgs.exe] C:\WINDOWS\system32\mfcgs.exe O4 - HKLM\..\Run: [netah.exe] C:\WINDOWS\system32\netah.exe O4 - HKLM\..\Run: [msbz.exe] C:\WINDOWS\system32\msbz.exe O4 - HKLM\..\Run: [apisq.exe] C:\WINDOWS\system32\apisq.exe O4 - HKLM\..\RunOnce: [ixdtw] C:\WINDOWS\hh.exe:ixdtw O4 - HKLM\..\RunOnce: [einbd] C:\WINDOWS\ODBCINST.INI:einbd O4 - HKCU\..\Run: [Lnbu] C:\Dokumente und Einstellungen\Robert\Anwendungsdaten\oroe.exe O4 - HKCU\..\Run: [Fvyvzpl] C:\WINDOWS\System32\ftwyw.exe O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchmiracle.com O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?319 O19 - User stylesheet: C:\WINDOWS\Web\tips.ini (file missing) neustarten 2.)Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken) Sicherstellen, daß alle Dateien angezeigt werden. (Systemsteuerung - Ordneroptionen - Ansicht - "Alle Dateien und Ordner anzeigen" aktivieren und "Geschützte Systemdateien ausblenden" deaktivieren.) 3.)Loesche: C:\WINDOWS\System32\nvcohv.exe C:\WINDOWS\system32\mfcgs.exe C:\WINDOWS\system32\netah.exe C:\WINDOWS\system32\msbz.exe C:\WINDOWS\system32\apisq.exe C:\WINDOWS\hh.exe:ixdtw C:\WINDOWS\ODBCINST.INI:einbd C:\Dokumente und Einstellungen\Robert\Anwendungsdaten\oroe.exe C:\WINDOWS\System32\ftwyw.exe %Windir%\Web\tips.ini %Windir%\hh.htt ......................................................................................................... 4.)die Host-Datei: in c:\Windows\System32\drivers\etc\hosts (Mit Notebook oeffen) Im Normalfall sollte dass hier drin stehen, alles andere loeschen 127.0.0.1 localhost #Orginal Host Datei 5.)Start<Ausfuehren<msconfig edit c:\windows\win.ini (MS-DOS Editor oeffnet sich) In the [windows] section of the file, look for a line similar to: loeschen: run=fntldr.exe 6.)Gehe in die Registry Start<Ausfuehren<regedit loesche, falls es da ist auf der rechten Seite der Registry HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer "ReconfLast"=dword:07D30C01 HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer "Search"="<WebAddress>" "SearchURL"="<WebAddress>" HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Search "Search Assistant"="<WebAddress>" "CustomizeSearch"= "<WebAddress>" HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Styles "User Stylesheet"="%Windir%\Web\tips.ini" http://securityresponse.symantec.com/avcenter/venc/data/adware.searchcounter.html 7.)Suche und loesche: fntldr.exe 8.)Alle Dateien und Ordner in den C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp Ordnern löschen. 9)Alle Dateien im Ordner C:\Windows\Temp löschen.....#Start<Ausfuehren<%temp% 10.)Über Systemsteuerung - Internetoptionen die temporären Internetdateien einschließlich aller Offlineinhalte löschen. Gehe wieder in den Normalmodus: 11.)Lade <Winsweep< http://www.winsweep.de/down.htm Klicke auf die Grafik , da erscheint der Download. Dann musst du das Tool nicht kaufen, sondern einfach ab und zu "System reinigen" anklicken. Dann das Tool wieder aus dem Autostart nehmen Start<Ausfuehren<msconfig<Systemstart das Haekchen vor Winsweep rausnehmen. 12.)Lade den "eScan" erstelle vorher eine C:\ base und entpacke dort den Scanner http://www.mwti.net/antivirus/free_utilities.asp suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein) Start<Ausfuehren< %temp% Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen) _____________________________________________________________________________________________ 13.)Gehe unbedingt in den abgesicherten Modus (!) http://www.bsi.de/av/texte/winsave.htm 14.)suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. Nach dem Scann, gehe wieder in den Normalmodus 15.)AdAware (free) http://www.lavasoft.de/support/download/ 16.) scanne noch mal und poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde das neue Log vom HijackThis noch mal. (stelle vorher eine neue Startseite ein) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.09.2004 um 13:40 Uhr von Sabina editiert.
|
|
|
||
06.09.2004, 13:17
...neu hier
Beiträge: 5 |
#188
wie siehts mit meinem aus?
|
|
|
||
06.09.2004, 13:27
Ehrenmitglied
Beiträge: 29434 |
#189
@Counterdoc
Kommt gleich.. Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.09.2004 um 13:27 Uhr von Sabina editiert.
|
|
|
||
06.09.2004, 13:32
...neu hier
Beiträge: 5 |
#190
Danke, ich kanns kaum erwarten was gegen den mist zu unternehmen!
|
|
|
||
06.09.2004, 13:52
Ehrenmitglied
Beiträge: 29434 |
#191
@@Counterdoc
#Wiederherstellung deaktivieren http://www.bsi.de/av/texte/winsave.htm ___________________________________________________________________________ scanne mit dem HijackThis, hake das hier an, <fix< und neustarten R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.xtvanhzktiqgpceelfghq.net/PTbVc/iaatH/rcgTOcf0ZzXTZZ5TG4xuErBAIUvmwtFOEqk0TkXMDITr029zE56o.html R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL (file missing) O2 - BHO: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL (file missing) O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\Downloaded Program Files\ycomp5_3_18_0.dll O2 - BHO: (no name) - {04079851-5845-4dea-848C-3ECD647AA554} - C:\Programme\MyWay\SrchAstt\1.bin\MYSRCHAS.DLL (file missing) O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: (no name) - {75496230-6FDC-995D-7C36-AEB06ED70585} - C:\PROGRA~1\INFOFR~1\EXTRAPLUS.exe O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_3_18_0.dll O4 - HKLM\..\Run: [KAZAA] C:\Programme\Kazaa\Kazaa.exe /SYSTRAY O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe O4 - HKLM\..\Run: [ErrorActive] C:\PROGRA~1\SECOND~1\File Bore Kind.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe Nicht gefährlich aber unnötig. O4 - HKLM\..\Run: [TestMealSoftFlag] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\send r O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime neustarten #Deinstalliere++Loesche alles davon C:\Programme\Messenger Plus! 3\MsgPlus.exe C:\WINDOWS\Downloaded Program Files\ycomp5_3_18_0.dll C:\Programme\Common files\updmgr\updmgr.exe C:\PROGRA~1\SECOND~1\File Bore Kind.exe C:\Programme\MyWay\myBar #Lade <Winsweep< http://www.winsweep.de/down.htm Klicke auf die Grafik , da erscheint der Download. Dann musst du das Tool nicht kaufen, sondern einfach ab und zu "System reinigen" anklicken. Dann das Tool wieder aus dem Autostart nehmen Start<Ausfuehren<msconfig<Systemstart das Haekchen vor Winsweep rausnehmen. #Alle Dateien und Ordner in den C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp Ordnern löschen. #Alle Dateien im Ordner C:\Windows\Temp löschen.....#Start<Ausfuehren<%temp% #Über Systemsteuerung - Internetoptionen die temporären Internetdateien einschließlich aller Offlineinhalte löschen. #Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen. Abgesicherter Modus und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken. http://www.mwti.net/antivirus/free_utilities.asp #Cwshredder Lade <CWShredder (schliesse den Browser)und scanne http://www.chip.de/downloads/c_downloads_11353799.html #AdAware (free) http://www.lavasoft.de/support/download/ Dann poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.09.2004 um 14:01 Uhr von Sabina editiert.
|
|
|
||
06.09.2004, 13:57
...neu hier
Beiträge: 6 |
#192
hy sabina
kann die datein C:\<Windows>\MSTO32.DLL C:\<Windows>\SYSINI.INI C:\<Windows>\wingua_.EXE Ordner namens <etcf < leider nirgends finden.... was macht ma da? C:\WINDOWS\System32\SCVHOST.EXE C:\WINDOWS\System32\REGCPM32.EXE hab ich entfernt der escan läuft seit 1,5 std en (ist bei 110000 datein durch) hat scho 5 files gfunden ... dauert noch ne weile du schreibst dass man die passwörter ändern sollte oder am besten gleich den rechner neu aufsetzen sollte... was ist denn eigentlich das gefährliche an der sache ... lg |
|
|
||
06.09.2004, 14:04
Ehrenmitglied
Beiträge: 29434 |
#193
Hallo @tobiwan
Trojaner......können ferner Hintertüren, so genannte Backdoors öffnen, durch die es Angreifern aus dem Internet möglich ist, den betroffenen Computer fern zu steuern, weitere Programme zu installieren oder Daten aus zu spähen. Durch Trojanische Pferde können sensible Daten (Passwörter, Kreditkartennummern, Kontonummern und ähnliches) ausgespäht, Dateien kopiert und gegf. alle Aktivitäten am Computer überwacht werden. Ebenso könnte der Computer von Unbekannten via Internet für kriminelle Zwecke mißbraucht werden. Wird ein Trojanisches Pferd einmal ausgeführt, kann man die durchgeführten Veränderungen im System nicht mehr rückgängig machen indem man das Trojanische Pferd selbst löscht, da dieses nur als Überträger fungiert. ......... _________________________________________________________________________________ Falls du sensible Daten hast, waere eine Neuinstallation angebracht, ansonsten kann man es bei der Reinigung und Sicherung des PC belassen. 1.) Neu formatieren und installieren 2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen 3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren http://www.dirks-computerecke.de/windows-xp-firewall.htm 4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org 5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren 6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera #Opera http://www.opera7.de/ oder firefox umsteigen http://www.firebird-browser.de/ 7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X) 8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vroher überprüfen, ob sie Spaware oder Adware enthalten 9) ein Antivirenprogramm (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen http://www.free-av.de/ 10) alle Passworte aendern mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.09.2004 um 14:08 Uhr von Sabina editiert.
|
|
|
||
06.09.2004, 14:28
...neu hier
Beiträge: 6 |
#194
zitat
Wird ein Trojanisches Pferd einmal ausgeführt, kann man die durchgeführten Veränderungen im System nicht mehr rückgängig machen indem man das Trojanische Pferd selbst löscht, da dieses nur als Überträger fungiert. ......... das heisst dass mein system unwiderruflich verändert wurde ... auch wenn ich den trojaner entferne kann irgendwer auf meinen rechner zugreifen... |
|
|
||
06.09.2004, 14:39
Ehrenmitglied
Beiträge: 29434 |
#195
Nun, es werden Ports geoeffnet, und andere Veraenderungen vorgenommen, die dein System anfaellig fuer weitere Infektionen machen. Man kann sich natuerlich schutzen, indem man eine Firewall installiert (oder die XP-Firewall aktiviert, die WindwosUpdates macht und alle sicherheitsrevelanten Dienste ueberprueft.
mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.09.2004 um 14:40 Uhr von Sabina editiert.
|
|
|
||
Dein PC ist verseucht und nicht mehr vertarauenswuerdig.... kompromittiert.
#Wiederherstellung deaktivieren
http://www.bsi.de/av/texte/winsave.htm
scanne mit dem HijackThis, hake das hier an, <fix< und neustarten
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\tobi\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\tobi\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\tobi\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\tobi\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\tobi\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\tobi\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {D439FEA3-0D3C-4D16-A67F-805BB87C1229} - C:\WINDOWS\System32\gklpg.dll
O2 - BHO: (no name) - {D439FEA3-0D3C-4D16-A67F-805BB87C1229} - C:\WINDOWS\System32\gklpg.dll
O4 - HKLM\..\Run: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE
O4 - HKLM\..\Run: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE
O4 - HKLM\..\RunServices: [MSStartOptimizer] C:\WINDOWS\System32\SCVHOST.EXE
O4 - HKLM\..\RunServices: [RegCompres] C:\WINDOWS\System32\REGCPM32.EXE
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin_AT.cab
O18 - Filter: text/html - {FD97010D-3006-49C1-99FA-E53C7BDDC598} - C:\WINDOWS\System32\gklpg.dll
O18 - Filter: text/plain - {FD97010D-3006-49C1-99FA-E53C7BDDC598} - C:\WINDOWS\System32\gklpg.dll
neustarten
1.)Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken)
Sicherstellen, daß alle Dateien angezeigt werden. (Systemsteuerung - Ordneroptionen - Ansicht - "Alle Dateien und Ordner anzeigen" aktivieren und "Geschützte Systemdateien ausblenden" deaktivieren.)
2.)Den folgenden Ordner löschen:
C:\WINDOWS\System32\SCVHOST.EXE (Achtung: nicht mit der legitimen Datei svchost.exe verwechseln.)
C:\<Windows>\MSTO32.DLL
C:\<Windows>\SYSINI.INI
C:\<Windows>\wingua_.EXE
Ordner namens <etcf <
C:\WINDOWS\System32\REGCPM32.EXE
3.)normal neustarten
______________________________________________________________________________________________
4.)Alle Dateien und Ordner in den C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp Ordnern löschen.
5)Alle Dateien im Ordner C:\Windows\Temp löschen.....#Start<Ausfuehren<%temp%
6.)Über Systemsteuerung - Internetoptionen die temporären Internetdateien einschließlich aller Offlineinhalte löschen.
7.)Lade <Winsweep<
http://www.winsweep.de/down.htm
Klicke auf die Grafik , da erscheint der Download.
Dann musst du das Tool nicht kaufen, sondern einfach ab und zu "System reinigen" anklicken.
Dann das Tool wieder aus dem Autostart nehmen
Start<Ausfuehren<msconfig<Systemstart das Haekchen vor Winsweep rausnehmen.
8.)Lade den "eScan" erstelle vorher eine C:\ base und entpacke dort den Scanner
http://www.mwti.net/antivirus/free_utilities.asp
suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)
Start<Ausfuehren< %temp%
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen)
_____________________________________________________________________________________________
9.)Gehe unbedingt in den abgesicherten Modus (!)
http://www.bsi.de/av/texte/winsave.htm
10.)suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.
11.)Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal und poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde das neue Log vom HijackThis noch mal. (stelle vorher eine neue Startseite ein, deinstalliere den Symantec und lade ihn neu (ist zerstoert)
mfg
Sabina
http://www.sophos.de/virusinfo/analyses/trojtofgero.html
__________
MfG Sabina
rund um die PC-Sicherheit